ATP de Symantec
Versión de integración: 9.0
Configura Symantec ATP para que funcione con Google Security Operations
Para generar un cliente de OAuth, haz lo siguiente:
- En Symantec ATP Manager, navega a Settings y, luego, a Data Sharing.
- Haz clic en Agregar aplicación en la sección Clientes de OAuth.
- Escribe el nombre de la aplicación que deseas registrar en el campo Nombre de la app y, luego, selecciona la versión de la API que usarás (el parámetro de configuración predeterminado es la versión 2).
- Si seleccionas habilitar las APIs de la versión 2, aparecerá la opción Rol. Selecciona el rol del usuario para la app en el menú desplegable.
- Haz clic en Generar.
- Aparecerán el ID de cliente y el secreto del cliente.
- Haz clic en Listo.
Configura la integración de Symantec ATP en Google SecOps
Si quieres obtener instrucciones detalladas para configurar una integración en Google SecOps, consulta Configura integraciones.
Acciones
Agregar comentario al incidente
Descripción
Adjunta un comentario a un incidente.
- En el incidente en el que quieras hacer un comentario, haz clic en el campo Comentarios.
- Escribe tu comentario en el cuadro Nuevo comentario. Los caracteres ASCII extendidos no se renderizan correctamente en formato .csv.
- Haz clic en Agregar comentarios.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| UUID del incidente | String | N/A | N/A |
| Comentario | String | N/A | N/A |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_added | Verdadero/Falso | is_added:False |
Resultado de JSON
N/A
Agregar a la lista negra
Descripción
Crea una política de lista negra para una entidad. Symantec mantiene una lista negra mundial de computadoras y archivos externos que se actualiza con regularidad y se integra con Symantec Advanced Threat Protection (ATP). Puedes complementar esta lista creando políticas de lista negra para computadoras externas o los archivos que consideres no confiables. Por ejemplo, es posible que desees crear una política de lista negra para un archivo que apareció recientemente en tu inteligencia de ciberseguridad y que Symantec aún no identificó como una amenaza.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Filehash
- Nombre de host
- Dirección IP
- URL
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Agregar a la lista blanca
Descripción
Cuando agregas a la lista de entidades permitidas una computadora externa, ATP la considera confiable y no inspecciona el tráfico hacia ella o desde ella desde tus extremos (incluso si está en la lista de bloqueo). Puedes incluir en la lista blanca una computadora externa según su dirección IP, subred, dominio o URL.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Filehash
- Nombre de host
- Dirección IP
- URL
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Cerrar incidente
Descripción
Cambia el estado del incidente a cerrado. Para cerrar el incidente, se debe especificar el resultado.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| UUID del incidente | String | N/A | N/A |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_closed | Verdadero/Falso | is_closed:False |
Resultado de JSON
N/A
Borrar archivo
Descripción
Cuando se selecciona un archivo para su eliminación en la Protección contra amenazas avanzada (ATP), en realidad no se borra, sino que el extremo seleccionado lo pone en cuarentena.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Filehash | String | N/A | Es el hash del archivo que se borrará. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Filehash
- Nombre de host
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado de JSON
N/A
Borra la política de lista de entidades permitidas
Descripción
Borra una política de lista de entidades permitidas para una entidad.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Enriquece el hash del archivo
Descripción
Enriquece una entidad de hash de archivo.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| max_file_health | N/A | N/A |
Resultado de JSON
N/A
Obtener eventos para la entidad
Descripción
Recupera todos los eventos de una entidad desde un momento determinado.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Minutos atrás para recuperar | String | N/A | Recupera el evento x minutos atrás. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| events_amount | N/A | N/A |
Resultado de JSON
N/A
Obtén eventos de consulta gratuita
Descripción
Recupera eventos con una búsqueda gratuita.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| Consulta | String | N/A | Es el texto de la consulta libre. |
| Límite | String | N/A | Es el límite de los resultados de la búsqueda. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| events_amount | N/A | N/A |
Resultado de JSON
N/A
Obtén el estado de los comandos de la zona de pruebas
Descripción
Obtiene el estado de los comandos por ID.
Parámetros
| Parámetro | Tipo | Valor predeterminado | Descripción |
|---|---|---|---|
| IDs de comandos | String | N/A | Es el ID del comando para el que se recuperará el estado. |
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Aislamiento del extremo
Descripción
Para aislar los endpoints del ATP Manager, se requiere una política de firewall de cuarentena y una política de integridad del host en Symantec Endpoint Protection Manager.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado de JSON
N/A
Ping
Descripción
Verifica que el usuario tenga una conexión a Symantec ATP a través de su dispositivo.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Extremos de reincorporación
Descripción
Para volver a unir los extremos desde ATP Manager, se requiere una política de firewall de cuarentena y una política de integridad del host en Symantec Endpoint Protection Manager.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en las siguientes entidades:
- Nombre de host
- Dirección IP
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado de JSON
N/A
Revocar de la lista negra
Descripción
Borra una política de lista negra para una entidad determinada.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Envía archivos a la zona de pruebas
Descripción
Envía hashes de archivos a la zona de pruebas.
Parámetros
N/A
Casos de uso
N/A
Ejecutar en
Esta acción se ejecuta en la entidad Filehash.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| command_ids | N/A | N/A |
Resultado de JSON
N/A
Obtén comentarios sobre incidentes
Descripción
Recupera los comentarios relacionados con el incidente.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| UUID del incidente | String | N/A | Verdadero | Especifica el UUID del incidente. |
| Cantidad máxima de comentarios que se devolverán | Número entero | 20 | Falso | Especifica la cantidad de comentarios que se devolverán. El máximo es de 1,000 comentarios. Esta es una limitación de Symantec ATP. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
{
"next": "MSwyMDIwLTA1LTAzVDEyOjU4OjMwLjc2Mlo=",
"result": [
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
],
"total": 3
}
{
"entity": "{Incident UUID} comments"
"Entity Results": [
"1": {
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"2" : {
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
},
"3":
{
"comment": "TExt",
"time": "2020-05-03T09:57:10.348Z",
"user_id": 2,
"incident_responder_name": "Admin"
}
]
],
"total": 3
}
Actualiza la resolución del incidente
Descripción
Actualiza la resolución del incidente.
Parámetros
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| UUID del incidente | String | N/A | Verdadero | Especifica el UUID del incidente. |
| Estado de resolución | DDL | DATOS INSUFICIENTES Valores posibles: DATOS INSUFICIENTES RIESGO DE SEGURIDAD FALSO POSITIVO ADMINISTRADO EXTERNAMENTE SIN ESTABLECER BENIGN PROBAR |
Verdadero | Especifica qué estado de resolución se debe establecer en el incidente. |
Ejecutar en
Esta acción no se ejecuta en entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Borrar la política de lista negra
Descripción
Borra una política de lista negra para una entidad de Google SecOps.
Parámetros
N/A
Ejecutar en
Esta acción se ejecuta en todas las entidades.
Resultados de la acción
Enriquecimiento de entidades
N/A
Estadísticas
N/A
Resultado de secuencia de comandos
| Nombre del resultado de la secuencia de comandos | Opciones de valor | Ejemplo |
|---|---|---|
| is_success | Verdadero/Falso | is_success:False |
Resultado de JSON
N/A
Conectores
Conector de incidentes de ATP de Symantec
Permisos del conector
Para que el conector funcione, necesitas los siguientes permisos para tu token de API:
- atp_view_incidents
Configura el conector de incidentes de Symantec ATP en Google SecOps
Si quieres obtener instrucciones detalladas para configurar un conector en Google SecOps, consulta Cómo configurar el conector.
Parámetros del conector
Usa los siguientes parámetros para configurar el conector:
| Nombre visible del parámetro | Tipo | Valor predeterminado | Es obligatorio. | Descripción |
|---|---|---|---|---|
| Nombre del campo del producto | String | Nombre del producto | Verdadero | Ingresa el nombre del campo de origen para recuperar el nombre del campo del producto. |
| Nombre del campo del evento | String | AlertName | Verdadero | Ingresa el nombre del campo de origen para recuperar el nombre del campo del evento. |
| Nombre del campo del entorno | String | "" | Falso | Describe el nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, se usa el entorno predeterminado. |
| Patrón de expresión regular del entorno | String | .* | Falso | Es un patrón de regex que se ejecutará en el valor que se encuentra en el campo "Nombre del campo del entorno". El valor predeterminado es .* para capturar todo y devolver el valor sin cambios. Se usa para permitir que el usuario manipule el campo del entorno a través de la lógica de regex. Si el patrón de regex es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
| Tiempo de espera de la secuencia de comandos (segundos) | Número entero | 180 | Verdadero | Es el límite de tiempo de espera para el proceso de Python que ejecuta la secuencia de comandos actual. |
| Raíz de la API | String | https://x.x.x.x:puerto | Verdadero | Es la raíz de la API del servidor de ATP de Symantec. |
| ID de cliente | Contraseña | N/A | Verdadero | ID de cliente de ATP de Symantec |
| Secreto del cliente | Contraseña | Verdadero | Secreto del cliente de ATP de Symantec | |
| Filtro de prioridad | CSV | Baja, media y alta | Verdadero | Es el filtro de prioridad para los incidentes. Si deseas transferir todos los incidentes, especifica: |
| Recuperar horas máximas hacia atrás | Número entero | 1 | Falso | Cantidad de horas desde las que se recuperan los incidentes. Límite: 30 días Esta es una limitación de Symantec ATP. |
| Cantidad máxima de incidentes para recuperar | Número entero | 25 | Falso | Cantidad de incidentes que se procesarán por iteración del conector. Máximo: 1,000 |
| Usar la lista blanca como lista negra | Booleano | Desmarcado | Verdadero | Si se habilita, la lista de entidades permitidas se usará como lista de entidades bloqueadas. |
| Usa SSL | Booleano | Marcado | Verdadero | Opción para habilitar la conexión SSL/TLS |
| Dirección del servidor proxy | String | Falso | Dirección del servidor proxy que se usará | |
| Nombre de usuario del proxy | String | Falso | Nombre de usuario del proxy para la autenticación | |
| Contraseña de proxy | Contraseña | Falso | Contraseña del proxy para la autenticación |
Reglas del conector
Compatibilidad con proxy
El conector admite proxy.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.